我们有一台 Linux 服务器(Debian-Lenny),带固态硬盘,没有经典硬盘。它用作路由器,因此流量仅用于转发。
我们希望监控连接,以便发现一些 syn-flood。Netstat 可以帮助我们,但我们的流量很大,大约 150 Mbit/s,而查看“/proc/net”的 netstat 会阻止流量,因此这不是我们可以使用的方法。实际上,我们使用带有“hashlimit-*”的 iptables 规则来验证:从源头来看,每分钟的连接数不是太多。但对于我们后面的一些网络来说,调整“太多”并不容易。
有人知道我们能做什么吗?
谢谢你的帮助,
答案1
从一个网站:
iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 5 -j ACCEPT
iptables -A INPUT -p tcp --syn -j LOG
iptables -A INPUT -p tcp --syn -j DROP
答案2
PP 的答案非常好,但您可能不想在最后实施“DROP”规则,直到您确定要丢弃的流量为止。监视 LOG 规则,并验证您没有丢弃合法流量。
如果您担心 syn-flood,您可能需要考虑启用 syn-cookies。Syn cookies 可以缓解用半开连接填充连接表的问题。一个很好的描述是http://cr.yp.to/syncookies.html